Scannen Sie eine Website-Sicherheitslücke mit ZAP

Scannen Sie eine Website-Sicherheitslücke mit ZAP | Sicherheit 2025
Scannen Sie eine Website-Sicherheitslücke mit ZAP | Sicherheit 2025
Inhaltsverzeichnis
ZAP (Zed-Angriffsproxy) ist ein Penetrationstest-Tool zum Testen von Websites. Es handelt sich um einen Scanner, der automatische Web-Sicherheitstests ermöglicht. In diesem Tutorial werden wir lernen, wie man die Sicherheitsüberprüfung durch automatisierte Angriffe verwendet.
Es wurde für Sicherheitsanfänger oder Experten mit umfassenden Sicherheitskenntnissen entwickelt. Es ist eine sehr wichtige Software für Entwickler und Serveradministratoren, die funktionale Sicherheits-Penetrationstests durchführen möchten.
Einige Unternehmen, die ZAP verwenden und damit zusammenarbeiten, sind: OWASP, Mozilla, Google, Microsoft und andere.
Zap kann von der offiziellen Seite des OWASP Zed Attack Proxy Project heruntergeladen werden, es gibt Versionen für verschiedene native Plattformen oder eine Multiplattform in Java.

In diesem Fall verwenden wir die Cross-Plattform- oder Multiplattform-Version, die alle Versionen enthält, die in Java programmiert sind, um sie auszuführen, die wir installiert haben müssen JRE 7 (Java-Laufzeitumgebung) oder höher.
Nach dem Download entpacken wir die Datei und führen sie wie jede Java-Software aus, in diesem Fall verwenden wir Linux.
Von jedem Betriebssystem können wir von einem direkten Zugriff oder von einem Terminal mit dem Befehl ausführen 
 java -jar zap-2.4.2.jar

Wir akzeptieren die beim Start angezeigten Bedingungen und gehen zum Hauptbildschirm der Software.

Wir werden einen Sicherheitstest durchführen, Sie können die Domain oder die IP des Webs verwenden, in diesem Fall verwenden wir die IP 67.222.16.108.
Wir fügen die IP in das Textfeld URL zum Angriff ein und klicken dann auf die Schaltfläche Angriff. Nach dem Scannen aller im Web gefundenen Seiten erhalten wir das Ergebnis.

Wir können sehen, dass einige Schwachstellen gefunden wurden, wie zum Beispiel:
X-Frame, eine Schwachstelle, die es Ihnen ermöglicht, eine komplette Website in einem iframe anzuzeigen und so jemanden glauben zu lassen, dass er eine Website durchsucht, obwohl tatsächlich eine andere im iframe enthalten ist. Angenommen, wir erstellen eine Website, binden Facebook in einen iframe und ein Paypal-Formular in einen anderen ein und simulieren, dass Facebook für die Registrierung Gebühren berechnet, sodass die Zahlung bei jeder Website tatsächlich an den Angreifer geht.

Diese Art von Angriff heißt Clickjacking und es kann zum Beispiel mit Javascript verhindert werden, indem dieser Code in die Tags des Webs eingefügt wird. 
 if (top! = self) {top.onbeforeunload = function () {}; top.location.replace (self.location.href); }
Eine weitere Schwachstelle in dieser IP besteht darin, dass sie keinen XSS-Schutz hat. Dies kann je nach verwendeter Programmiersprache implementiert werden.
Vermeiden XSS-Angriffe Es ist einfach, es gibt viele Bibliotheken, die in jeder Webanwendung verwendet werden können.
Die Methode umfasst die Überprüfung der Daten, die Benutzer eingeben oder aus einer externen Datenquelle oder einem Parameter, der per URL gesendet wurde.
Diese Sorgen sind die einzigen, die wir berücksichtigen müssen, um zu verhindern XSS-Angriffe und die Sicherheit zu erhöhen, die XSS-Angriffe verhindert, dafür müssen wir eine Datenvalidierung durchführen, die Daten kontrollieren, die die Anwendung empfängt, und verhindern, dass gefährlicher Code verwendet oder ausgeführt wird, wenn Daten eingegeben werden.
Beispielfunktion strip_tag() in php
Diese Funktion entfernt alle HTML-Zeichen, die die Variable $ description enthalten, mit Ausnahme derjenigen, die sie autorisiert, wie in diesem Fall

Absatz und fettgedruckte Schriftart 

 $ description = strip_tags ($ _ POST [Beschreibung], ’

,’);
Nachdem wir die erste Analyse durchgeführt haben, werden wir beginnen, verschiedene Tools und Plugins für das Fuzzing anzuwenden. Es wird Fuzzing genannt, um verschiedene Testtechniken zu verwenden, die Daten in massiver und sequentieller Weise an die Anwendung senden, um zu versuchen, dies zu erkennen Schwachstellen im Web oder in der von uns analysierten Software.
Als Beispiel nehmen wir jede Website, die potenziell angreifbar ist
http: //www.dominio/i… rdetalle & id = 105
In einem anderen SQLMAP-Tutorial, dem SQL-Injection-Tool und dem Hacken von ethischen Datenbanken erklärte er, dass eine einfache Möglichkeit, eine zu analysierende Website zu finden, darin besteht, section.php?Id= in die Google-Suchmaschine einzugeben und wir werden Tausende von Websites sehen, die anfällig sein könnten . Hier haben Sie es bei Interesse:

SQL-Injection-Tool

Wir analysieren eine Website und sehen die Liste der anfälligen Seiten.

Dann nehmen wir eine der Seiten, in diesem Fall die index.php, die zwei Variablen id und section hat, und klicken dann mit der rechten Maustaste auf diese Seite.

Wir gehen zum Angriffsmenü und wählen Fuzz, das Fuzzer-Fenster öffnet sich und wir klicken auf das leere Textfeld. Dadurch wird die Schaltfläche Hinzufügen aktiviert, mit der wir den spezifischen Angriffstyp hinzufügen können.

Als nächstes sehen wir den Payloads-Bildschirm. Die Funktionen oder der Exploit, die von Software bereitgestellt werden, um Schwachstellen zu testen und nach Schwachstellen zu suchen und Fehler im von uns geprüften Web zu verursachen, werden als Payload bezeichnet. In diesem Bildschirm klicken wir auf Hinzufügen, um eine Nutzlast hinzuzufügen.
Hier können wir die Art des durchzuführenden Angriffs auswählen, den Dateifuzzertyp auswählen und die Payload Injection auswählen, die xss-Angriffe abdeckt, SQL-Injection-Angriffe unter anderem und SQL-Injection, die alle SQL-Angriffe abdeckt. Wir können viele verschiedene Arten von Angriffen aus der Liste, die Zap uns anbietet, hinzufügen und testen.

Dann klicken wir auf Hinzufügen, dann auf Akzeptieren und klicken auf die Schaltfläche Fuzzer starten, um das Audit zu starten.

Als Ergebnis des Scannens mit dem Nutzlastinjektion Ja SQL-Injektion, haben wir festgestellt, dass das Web anfällig für XSS-Angriffe ist und mindestens drei Fehler aufweist, wenn es mit hochriskanten SQL-Injections konfrontiert wird, und es sagt uns, auf welchen Seiten das Problem liegt.
Eine andere Analyse, die wir durchführen können, ist die Auswahl der Webserver-Nutzlast. In diesem Fall werden wir feststellen, dass wir ein Problem mit Sitzungen und Cookies haben, da sie von dem von uns verwendeten Browser gelesen werden können.

VERGRÖSSERN

Eine andere Möglichkeit ist die Simulation der Verkehr von 10.000 fast gleichzeitige Benutzer, die alle auf unserer Website verfügbaren Links navigieren und Anfragen generieren, um zu sehen, ob die Website nicht gesättigt und außer Betrieb ist.
Zum Beispiel werden wir eine Nutzlast hinzufügen, wir wählen die Domäne oder die Hauptseite mit der rechten Schaltfläche aus und gehen zu Angriff> Fuzz, dann klicken wir auf Hinzufügen, dann klicken wir im Payload-Bildschirm auf Hinzufügen und wählen den Datei-Fuzzer-Typ und in jbrofuzz ​​haben wir Zero Fuzzers ausgewählt.

Nach der Ausführung der Payload sehen wir den Verkehr auf unseren Seiten, aber auch den Verkehr auf den von uns verlinkten Webseiten.

Wir können im Fall dieser Website den Traffic sehen, der unter anderem zu Facebook, Twitter, Linkedin, Google Plus generiert wird und die sicherlich die Social-Media-Strategie dieser Website ausmacht. Wenn wir Google Analytics oder Google Searh Console haben (ehemals Webmastertools) Es wird auch Verkehr generieren, daher ist es nicht gut, diese Tests zu überschreiten, oder es ist besser, dies lokal mit deaktivierter Google-Analyse durchzuführen.

Das Internet und Webanwendungen erhöhen täglich die Zahl der Benutzer, daher ist der Bedarf an Informationssicherheitsexperten und Auditoren in Unternehmen sehr groß.
Diese Tests sind nicht schlüssig, sie sind nur eine Warnung, damit wir die Untersuchung vertiefen können. Diese Angriffssimulationen und automatisierten Scans können eine schnelle Lösung für die Prüfung von Websites bieten.
Es ist wichtig, dass diese Tools mit Sorgfalt und ethischen Zwecken verwendet werden, da sie von Webmastern und Servern sowie böswilligen Hackern verwendet werden. OWASP ZAP ist ein Tool, das häufig von denen verwendet wird, die etical-Hacking für ihre Arbeit an Web-Sicherheitsprüfungen und Testanwendungen durchführen.
Weitere Informationen zu IT-Sicherheit mit anderen Techniken, Angriffen, Hacks etc. Bleiben Sie auf dem Laufenden und teilen Sie Ihr Wissen hier:

Tutorials zur Computersicherheit

Hat dir dieses Tutorial gefallen und geholfen?Sie können den Autor belohnen, indem Sie diesen Knopf drücken, um ihm einen positiven Punkt zu geben
wave wave wave wave wave

Beliebte Beiträge

wave
1
post-title
Beste Terminal-Befehlsemulatoren in Windows 10, 8, 7
2
post-title
So installieren oder deinstallieren Sie Wordpad in Windows 10
3
post-title
So aktivieren Sie Benachrichtigungen auf Xiaomi Mi Smart Band 4
4
post-title
So verschlüsseln Sie Dateien oder Ordner mit EFS in Windows 10
5
post-title
MWC18: ESET startet mit einem kostenlosen Antivirenprogramm in den Schutz von Smart TVs

Empfohlen

wave
- Sponsored Ad -

Tipp Der Redaktion

wave
- Sponsored Ad -